Routing mit Cisco 3560 SWITCH

[ludi]

Hallo,

ich habe folgendes Problem:

Auf einem Cisco Switch (3560 mit enhanced (?) IOS) sind 2 VLANs eingerichtet. Nun soll genau 1 PC aus Vlan 1 und genau 1 PC aus Vlan 2 in dem jeweils anderen Vlan Zugriff haben.

Hab schon ne Weile rumgetestet und auch gegooglet aber nicht wirklich was hilfreiches gefunden. Ich hoffe hier ist jemand schlauer als ich und kann mir helfen.

[debcha]

Hallo lurdi,

Bitte poste mal ein sh ver das wir mal prüfen können ob du wirklich nen EMI (wegen dem ?) hast.

[ludi]

ja hab ich. das fragezeiche ist da nur weil ich mir nicht sicher war ob man das so schreibt. bin mir aber 100%ig sicher, dass es eins ist (deswegen haben wir es gekauft)

ich heisse übrigens ludi

[debcha]

Hallo ludi,

abgesehen davon das ihr bestimmt nicht nen Layer3 als Access-Switch einsetzt folgendes:

- Nimm zum testen mal am besten was anderes als Vlan 1

- du legst z.b vlan2 und vlan 3 (vlan database bzw. conf t) an

- was du in deinem Fall bestimmt vergessen hast sind die Interfaces anzulegen:

conf t

int vlan 2

ip address 192.168.10.1 255.255.255.0

no sh

conf t

int vlan 3

ip address 192.168.20.1 255.255.255.0

no sh

- nicht vergessen die entsprechenden Ports als Accessports + zugehöriges VLAN zu konfigurieren.

[Mahatma Ganja]

Kann man nicht hierfür virtuelle Interfaces auf die Ports legen, mit jeweils passender IP, und dann die Routen eintragen?

[Crash2001]

[...]soll genau 1 PC aus Vlan 1 und genau 1 PC aus Vlan 2 in dem jeweils anderen Vlan Zugriff haben.[...]

Was genau ist da dein Problem?

Das Routing zwischen den vlans, oder die Zugriffsbeschränkung, dass nur genau dieser eine PC ins andere vlan zugreifen darf? :confused:

[ludi]

das problem ist, dass nur der eine pc zugreifen dürfen soll.

das routing an sich ist nicht das problem, nur da kann jeder überall hin.

und die interfaces hab ich sicherlich nicht vergessen anzulegen bzw den ports zuzuweisen... so kluch war ich dann doch noch

hier noch wie gewünscht ein sh ver:

Test#sh ver

Cisco IOS Software, C3560 Software (C3560-IPSERVICES-M), Version 12.2(25)SEE2, R

ELEASE SOFTWARE (fc1)

Copyright © 1986-2006 by Cisco Systems, Inc.

Compiled Fri 28-Jul-06 07:19 by yenanh

Image text-base: 0x00003000, data-base: 0x0109B370

ROM: Bootstrap program is C3560 boot loader

BOOTLDR: C3560 Boot Loader (C3560-HBOOT-M) Version 12.2(25r)SEC, RELEASE SOFTWAR

E (fc4)

Test uptime is 10 minutes

System returned to ROM by power-on

System image file is "flash:c3560-ipservices-mz.122-25.SEE2/c3560-ipservices-mz.

122-25.SEE2.bin"

cisco WS-C3560-24TS (PowerPC405) processor (revision D0) with 118784K/12280K byt

es of memory.

Processor board ID CAT1052RM8B

Last reset from power-on

2 Virtual Ethernet interfaces

24 FastEthernet interfaces

2 Gigabit Ethernet interfaces

The password-recovery mechanism is enabled.

--More--

512K bytes of flash-simulated non-volatile configuration memory.

Base ethernet MAC Address : 00:19:30:3E:8E:80

Motherboard assembly number : 73-9897-06

Power supply part number : 341-0097-02

Motherboard serial number : CAT105259MV

Power supply serial number : DCA1046843W

Model revision number : D0

Motherboard revision number : A0

Model number : WS-C3560-24TS-E

System serial number : CAT1052RM8B

Top Assembly Part Number : 800-26386-02

Top Assembly Revision Number : C0

Version ID : V02

CLEI Code Number : COMMH00ARB

Hardware Board Revision Number : 0x01

Switch Ports Model SW Version SW Image

------ ----- ----- ---------- ----------

* 1 26 WS-C3560-24TS 12.2(25)SEE2 C3560-IPSERVICES-M

--More-- Configuration register is 0xF

Test#

[Crash2001]

Hmmm... hängen die 2 PCs, die den zusätzlichen Zugang haben sollen, jeweils an einem einzelnen Port dran, oder hängen die hinter einem weiteren Switch oder so dahinter, der keine vlans kann?

zum besseren Verständnis schreib ich mal einfach vlan-Nummern auf.

vlan 20 = vlan in dem der PC vorher drin war

vlan 30 = vlan des "Servers", auf den der PC zugreifen können soll

vlan 40 = vlan, in das der PC reinkommt

Falls du das vlan bis zum PC durchreichen kannst, dann nimm einfach ein anderes (vlan 40) und route dann zwischen dem vlan, auf dass nur der eine PC zugreifen darf (vlan 30), dem vlan in dem der PC ist (vlan 40) und dem vlan, in dem der PC vorher war (vlan 20), statt nur zwischen zweien. Dann einfach noch eine access-liste machen, in der der Zugriff von allen vlans ausser vlan 40 auf den Server (vlan 30) verboten wird, oder zwischen den zwei vlans (vlan 20 und vlan 30) einfach nicht routen.

Alternativ könnte man das afaik aber auch so machen, dass nur bestimmte MAC-Adresse durchgelassen werden ins andere Netz.

.oO( ich hoffe, du verstehst, was ich meine )

[ludi]

vorher gibts keine vlans, die netze sind physikalisch getrennt (produktion und verwaltung) der server hat 2 netzwerkkarten und ist somit in beiden netzen drin. auf der server soll aus beiden netzen von diversen pcs zugegriffen werden aber es darf nur PC-X ins Netz-Y und nur PC-Y ins Netz-X.

(warum muss das auch sowas kompliziertes sein )

Mit den Mac-Adressen ist an sich ne gute idee, aber leider sind einige Router dazwischen und dann funzt das leider nicht...

[Crash2001]

Also soll jeweils ein PC vom Verwaltungs-Netz ins Produktions-Netz zugreifen dürfen - die anderen jedoch nur auf den Server. Und der Zugriff auf das jeweils andere LAN ginge dann über das Routing vom Server. Sehe ich das richtig?

Falls ja, dann müsste man auf einem der Router einfach eine Access-Liste machen für das entsprechende Netz (die IP-Adresse darf auf das Netz B zugreifen, alle IP-Adressen dürfen auf den Server zugreifen, Server darf auf alle zugreifen, alles andere verboten). Und das gleiche dann auf dem Router im anderen Netz.

Das Ziel-IP-Netz ist ja bekannt und anhand dessen kann man ja filtern.

[edit]

Alternativ dem Server noch 2 zusätzliche IP-Adressen geben, zwischen denen geroutet wird und die PCs in das jeweilige Netz hängen (falls die nicht auch noch mit den anderen PCs kommunizieren können sollen). Kann man auf dem Server einstellen, dass nur zwischen bestimmten netzen geroutet wird, statt zwischen allen?

[/edit]

[Crash2001]

Ach ja - wo sitzt der Switch denn eigentlich, den du meinst (also der 3560-er)? :confused: Eine kleine Zeichnung dafür wäre zum besseren Verständnis super. dann könnte man sich Fragen zum Aufbau des Netzes sparen und direkt zur möglichen Lösung übergehen...

[ludi]

das routing soll auf dem switch stattfinden, auf dem server wäre das ja auch nicht so das ding..

Zeichnung...

[Crash2001]

Aaaaah - sooo ist das.

Und ich dachte nach deiner Beschreibung, da wäre kein Switch mehr vor dem Router und fragte mich, wie du den Traffic dann beeinflussen können willst.

Also ich würde PC 1 und PC 2 (der hat ja eh schon eine IP aus einem anderen Netz, oder? ) einfach in einen anderen IP-Adressbereich packen. Laut deiner Zeichung sollte das ja kein Problem sein.

Und dann halt eine Accessliste machen, dass alles blockiert wird, ausser dem was du willst und gut ist.

[ludi]

so einfach ist das leider nicht. wir haben hier ca. 1000 PCs im Unternehmen (die wollte ich nicht alle skizzieren ). Die Adressbereiche sind alle festgelegt nach diversen regeln und standards. d.H. ich darf da keine pc-ips ändern.

ich könnte ja auch eine acl mit den bestehenden ips machen aber auf den server können ja auch viele zugreifen. die müsste ich ja dann auch in die acls rein schreiben. aber die könnten dann auch alle in das andere netz gelangen. ne acl für den ausgehenden netzwerk-verkehr kann ich leider nicht auf dem switch anlegen...

mein gott was hab ich mir da für eine sche** aufgabe aufs auge drücken lassen

[Crash2001]

Achso - ja gut, wenn du die nicht ändern darfst, dann kommt ja eigentlich nur noch das Filtern nach Ziel in Frage.

Vielleicht findest du hier eine passende Möglichkeit.

[edit]

Alternativ auch hier. (MAC-Filterung am Beispiel von ARP-Paketen - geht leider nicht auf jedem Port. Ich weiss leider auch nicht, ob das mit normalen TCP-Paketen auch einfach so geht.)

Falls ja, könnte man den 2 MAC-Adressen der PCs einfach erlauben durchzukommen und die anderen blocken

So in der Art:

permit host [MAC_PC1] host[MAC_PC2]

permit all host [MAC_Server]

[weitere Regeln]

deny all

(Weiss nicht, ob das mit der Syntax so stimmt, da ich nichts zum testen hier habe.)

[/edit]

[ludi]

Ahh,ich glaub ich habs, danke!

über mac-adressen gehts nicht, weil der router die ja nicht durch reicht. dann kommen entweder alle pcs hinter dem router oder keiner ins zweite netz.

habs jetzt über acls hinbekommen, wenn ich als interface für die acls nen vlan nehme, dann kann ich auch den ausgehenden netzwekverkehr filtern. bisher hab ich das den ports immer zugewiesen, da kann man nur eingehend filtern und ich wusste nicht dass das bei den vlans anders ist.. :upps

aber damit müsste es jetzt klappen, danke nochmal für die hilfe!

[Crash2001]

Auch ne nette Möglichkeit - die kannte ich auch noch nicht.

Kannst du mal ein Beispiel geben, wie man das macht?

[ludi]

so hab ich das jetzt gemacht. heute nachmittg werde ich das mal in ner etwas größeren testumgebung prüfen aber eigentlich müsste so hinhauen:

conf t

ip access-list extended 101

access-list 101 permit ip host 10.0.3.2 host 10.0.2.2

access-list 101 permit ip host 10.0.2.2 host 10.0.3.2

access-list 101 permit ip 10.0.2.0 0.0.0.255 10.0.2.0 0.0.0.255

access-list 101 permit ip 10.0.3.0 0.0.0.255 10.0.3.0 0.0.0.255

exit

int vlan 2

ip access-group 101 out

exit

int vlan 3

ip access-group 101 out

exit

EDIT: zum Verständnis: Subnetmaske ist 255.255.255.0

[ludi]

AAAAAAAAAAaaaaaaaaaaaaaaahhhhhhhhhhhhhhh,

ich krieg noch das k0tzen!

Die regeln von einem netz ins andere zu kommen funktionieren einwandfrei, aber wenn ich mit dem rechner der auch ins andere netz darf irgendwo im eingenen netz hin will, dann geht das nicht.